Los datos personales de hasta 80 000 miembros de The Internet Society (ISOC) quedaron expuestos en Internet después de que uno de sus socios tecnológicos externos no pudo asegurar correctamente un repositorio de Microsoft Azure Blob.
ISOC es una de las organizaciones sin fines de lucro de Internet más antiguas, establecida en 1992 con la misión de garantizar el desarrollo abierto de Internet en todo el mundo, con un enfoque particular en reducir la brecha digital y hacer que la web sea más accesible.
Los datos expuestos fueron descubiertos el 8 de diciembre de 2021 por un equipo del especialista en software cibernético Clario, que trabajaba junto con el investigador independiente Bob Diachenko, y se informaron de inmediato. El ISOC respondió de manera rápida y adecuada y la base de datos se bloqueó por completo el 15 de diciembre.
El repositorio vulnerable de Blob contenía millones de archivos json, incluidos los datos personales y de inicio de sesión de los miembros de ISOC. Además de esto, también incluía datos sobre su actividad, ID de cuenta, cuentas de redes sociales vinculadas, fechas de ingreso, preferencias de idioma, direcciones de correo electrónico, direcciones postales, incluidos códigos postales, género, nombres completos e incluso cantidades de dinero donado.
Su exposición deja potencialmente a los miembros de ISOC en riesgo de ser atacados por ciberdelincuentes con ataques de phishing que conducen al robo de identidad y al fraude financiero.
“Según el tamaño y la naturaleza del repositorio expuesto, podemos suponer que todos los inicios de sesión de los miembros y la información adyacente estuvieron abiertos al público en Internet durante un período de tiempo indefinido”, escribió el equipo de Clario en un aviso de divulgación publicado hoy.
Un portavoz de ISOC dijo: “Hemos confirmado que el sistema de gestión de asociaciones que usamos fue configurado incorrectamente por MemberNova, lo que hizo que algunos datos de miembros de Internet Society fueran de acceso público. Afortunadamente, no hemos visto ningún caso de acceso malicioso a los datos de los miembros como resultado de este problema.
“Notificamos a todos nuestros miembros sobre este asunto antes de las vacaciones y trabajamos con MemberNova para corregir el problema de configuración y restaurar el funcionamiento normal del sistema. También acabamos de informar a nuestros miembros que la investigación ha concluido.
“Gracias nuevamente por llamar nuestra atención sobre este problema, ya que su aviso nos permitió resolver la situación rápidamente”, dijeron.
El proveedor involucrado, identificado como MemberNova, es un especialista en plataformas de membresía con sede en Canadá, que brinda servicios como gestión de membresía y comunidad, registro de eventos, etc. No hay indicios de intenciones maliciosas por su parte.
Sin embargo, como en todos los casos relacionados con bases de datos mal configuradas, el incidente sirve como otra advertencia a las organizaciones para que verifiquen y validen las posturas de seguridad cibernética de sus proveedores externos, ya que una infracción grave podría poner a la organización con la que se originaron los datos en riesgo de daños legales. o consecuencias regulatorias.
“Existen desafíos para ISOC si esta violación de datos se hubiera informado ampliamente y la pérdida de reputación fuera el problema principal. Dado que la organización trabaja en el mundo en línea y es vista como defensora de los estándares y las mejores prácticas, podría ser particularmente vergonzoso si esto hubiera salido a la luz”, dijo el equipo de Clario.
“La brecha sugiere que ISOC necesita hacer más para mejorar [its] infraestructura de seguridad y adherirse a las mejores prácticas [it] campeones en torno a hacer que Internet sea más fuerte y más seguro”.